Es wurde leider kein Ergebnis gefunden. Bitte versuchen Sie es erneut.

keine Ergebnisse
Affiliate-Marketing
Afterbuy
Amazon
Apotheken-Online-Shop
Apps (Datenschutzerklärung)
Argato
Avocadostore
Azoo
Booklooker
Branchbob
Brick Owl
BrickLink
Cardmarket
Cdiscount.com
Check24
Chrono24
Coaching
commerce:seo
Conrad
Consulting
CosmoShop
Decathlon
Delcampe
Dienstleistungen
Discogs
Dropshipping
Dropshipping-Marktplatz
eBay
ecwid
eGun
Einkaufsbedingungen (B2B)
ePages
Etsy
Etsy (digitale Inhalte)
Facebook
Facebook (Warenverkauf)
Fairmondo
Fernunterricht
For-vegans
Fotografie und Bildbearbeitung
Freizeitkurse
Galaxus
Galeria
Gambio
Gambio-Cloud
Gastro-Lieferservice (Restaurants)
German Market
Germanized for WooCommerce
GTC for Shopify
GTC-Kaufland.de
Handmade at Amazon
home24
Homepage
Hood
Hornbach
Hosting
Hosting B2B
Individuelle Kundenkommunikation (B2B)
Individuelle Kundenkommunikation (B2C)
Instagram
Instagram (Warenverkauf)
Jimdo
Joomla
JTL
Kasuwa
Kaufland
Kaufland - alle Sprachen
Kleinanzeigen.de
Kleinanzeigen.de (Vermietung)
Lightspeed
LinkedIn
Lizenzo
Magento
Manomano
Mediamarkt
MeinOnlineLager
metro.de
modified eCommerce-Shops
Online-Shop
Online-Shop (digitale Inhalte)
Online-Shop - B2B
OpenCart
Otto
Oxid-Shops
Palundu
Pinterest
plentymarkets
Praktiker
Prestashop
Printkataloge
Productswithlove
RAIDBOXES
Restposten
Restposten24
Ricardo.ch
Selbstbedienungsläden
Seminare
SHOMUGO
Shop - Online-Kurse (live oder on demand)
Shop - Verkauf von eigener Software
Shop - Verkauf von fremder Software
Shop - Vermietung von Waren
Shopify
Shopware
Shpock
Shöpping
Smartvie
Snapchat
Spandooly
Squarespace
Stationärer Handel
STRATO
Teilehaber.de
Threads
TikTok
Tumblr
Twitch
TYPO3
Verkauf von Veranstaltungstickets
Vermietung Ferienwohnungen
Vermietung von Shops (inkl. Hosting)
VersaCommerce
VirtueMart
voelkner
webador
Webdesign
Webflow
Webshop Factory
Werky
WhatsApp Business
WhatsApp Business (Warenverkauf)
Wix
WooCommerce
WordPress
Wordpress (Warenverkauf)
wpShopGermany
X (ehemals Twitter)
Xanario
XING
xt:Commerce
XXXLutz
YouTube
zalando
Zen-Cart
ZVAB

EuGH: In DSGVO-Auskunft müssen Datenempfänger konkret benannt werden, Kategorien reichen nicht aus

16.01.2023, 14:07 Uhr | Lesezeit: 4 min
EuGH: In DSGVO-Auskunft müssen Datenempfänger konkret benannt werden, Kategorien reichen nicht aus

Das geltende Datenschutzrecht gewährt dem Betroffenen mit dem Auskunftsrecht nach Art. 15 DSGVO einen umfassenden Anspruch auf Information über Inhalt und Umfang der ihn betreffenden Datenverarbeitungen. Im Rahmen der Auskunft ist auch über Empfänger bzw. Kategorien von Empfängern dieser Daten zu informieren. Nun hat der EuGH entschieden, dass grundsätzlich immer konkrete Empfänger benannt werden müssen. Auf Kategorien von Empfängern dürfe nur in engen Ausnahmefällen ausgewichen werden. Die Entscheidung hat weitreichende Konsequenzen für alle Seitenbetreiber.

I. Der Pflichtinhalt einer DSGVO-Datenauskunft

Als wohl elementarstes Betroffenenrecht, an dessen Geltendmachung weitere Interventionsmöglichkeiten anknüpfen, sieht die DSGVO in Art. 15 ein Auskunftsrecht des Betroffenen vor, nach welchem dieser auf Verlangen über die Art, den Inhalt und die Zwecke der von ihm erhobenen Daten zu informieren ist.

Das Auskunftsrecht gliedert sich in zwei Stufen. Zunächst hat der Betroffene Anspruch darauf, zu erfahren ob überhaupt personenbezogene Daten von ihm erhoben und gespeichert wurden. In einem zweiten Schritt hat er, wenn dies der Fall ist, einen Anspruch auf Auskunft über diese Daten bzw., wenn keine Daten von ihm verarbeitet werden, einen Anspruch auf Information darüber (sog. Negativauskunft).

Auf Antrag sind dem Betroffenen, dessen Daten verarbeitet wurden, Gemäß Art. 15 DSGVO folgende Informationen bereit zu stellen:

  • die Verarbeitungszwecke
  • die Kategorien personenbezogener Daten, die verarbeitet werden
  • die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen
  • falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer
  • das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung
  • das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde

Gleichzeitig besteht die Pflicht gemäß Art. 15 Abs. 3 DSGVO, den Informationen eine (einmalig kostenlose) Kopie sämtlicher personenbezogener Daten, die Gegenstand der Verarbeitung sind, beizustellen.

Erfolgt der Antrag - wie in Bezug auf Internetangebote regelmäßig - elektronisch, so sind die Informationen ebenfalls in einem gängigen elektronischen Format (bspw. per Mail) bereitzustellen.

1

II. Empfänger oder Kategorien von Empfängern: Der EuGH urteilt

Nach Art. 15 Abs. 1 lit. c DSGVO hat an der Auskunft auch die Information teil, gegenüber welchen Empfängern oder Kategorien von Empfängern die verarbeiteten Daten offengelegt worden sind.

In Praxis und Rechtsprechung Bestand bisher Unklarheit, wie dieses Alternativverhältnis zwischen „Empfängern“ und „Kategorien von Empfängern“ korrekt zu deuten und mithin in einer Datenauskunft auch korrekt umzusetzen sein sollte.

Teilweise wurde vertreten, je nach vorliegenden Informationen könne sich der Auskunftsverpflichtete nach eigenem Ermessen dafür entscheiden, entweder allgemeine Kategorien von Datenempfängern zu benennen oder aber die Identitäten der konkreten Empfänger individuell kenntlich zu machen.

Teilweise wurde dem entgegengehalten, dass nach Stellung des Wortes „Empfänger“ vor „Kategorien von Empfängern“ und aufgrund des mit dem Auskunftsrecht bezweckten weitreichenden Datenschutzniveaus immer dann die Empfänger konkret zu benennen wären, wenn dies möglich und zumutbar wäre. Nur in Fällen etwa, in denen die Empfänger für den Auskunftsverpflichteten nicht hinreichend identifizierbar seien, dürfe auf die Benennung von Kategorien ausgewichen werden.

Auf Vorlage des österreichischen Obersten Gerichtshofs hat sich nun final und mit Urteil vom 12.01.2023 (Az. C-154/21) der EuGH zur Frage der korrekten Auslegung positioniert.

Nach Ansicht des obersten Europäischen Gerichts sind Verantwortliche verpflichtet, im Rahmen der DSGVO-Auskunft stets die Identität der Empfänger im Konkreten mitzuteilen.

Nur für den Fall, dass

  • es nicht möglich ist, den Empfänger zu identifizieren oder
  • der Auskunftsverpflichtete nachweist, dass der Auskunftsantrag offensichtlich unbegründet oder exzessiv i.S.d. Art. 12 Abs. 5 DSGVO ist,

darf auf die bloße Mitteilung von Empfängerkategorien ausgewichen werden.

III. Weitreichende Konsequenzen für die ordnungsgemäße Auskunftserteilung

Das Urteil des EuGH hat weitreichende Auswirkungen auf die Voraussetzungen einer ordnungsgemäßen Beauskunftung – vor allem im Internet in Bezug auf Telemedien.

Nach Auslegung des Gerichtshofs, die EU-weit verbindlich ist, reicht es nicht, im Rahmen der Auskunft lediglich die Kategorien von Empfängern zu benennen.

Vielmehr müssen grundsätzlich die einzelnen Empfänger identifizierbar bezeichnet werden.

Hierfür ist wiederum erforderlich, dass der Verantwortliche Angaben zur Firma und zumindest Anschrift jedes einzelnen Empfängers macht.

Gerade in Bezug auf Auskunftsgesuche, die gegenüber Seitenbetreibern geltend gemacht werden, schafft die jüngste Rechtsprechung einen erheblichen Mehraufwand, und verpflichtet nunmehr zu einer detaillierten Auflistung jedes einzelnen Datenempfängers.

Erwähnungsbedürftig sind u.a.

  • Newsletter-Versanddienstleister
  • Bestellabwicklungsdienstleister
  • Versandunternehmen
  • Dropshipping-Lieferanten
  • Payment-Dienstleister
  • Gutschein-Marketingdienstleister
  • Kundenmanagement-Dienstleister
  • Buchhaltungssoftware-Anbieter

Für Datenauskünfte, die ab dem 12.01.2023 beantragt werden, ist die Rechtsprechung des EuGH unbedingt zu beachten. Ab sofort sind auch die konkreten Identitäten von Datenempfängern zu beauskunften.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.


Link kopieren

Als PDF exportieren

Drucken

|

Per E-Mail verschicken

Zum Facebook-Account der Kanzlei

Zum Instagram-Account der Kanzlei

0 Kommentare

weitere News

EuGH: Fehlendes Verarbeitungsverzeichnis führt nicht automatisch zu einer unzulässigen Datenverarbeitung
(16.02.2024, 10:48 Uhr)
EuGH: Fehlendes Verarbeitungsverzeichnis führt nicht automatisch zu einer unzulässigen Datenverarbeitung
Auch weiterhin gilt: Die Weitergabe von E-Mail-Adressen an Paketdienstleister zu Paketankündigungszwecken bedarf einer Einwilligung
(05.01.2024, 13:23 Uhr)
Auch weiterhin gilt: Die Weitergabe von E-Mail-Adressen an Paketdienstleister zu Paketankündigungszwecken bedarf einer Einwilligung
EuGH: Keine Spürbarkeitsschwelle für immateriellen Schadensersatz nach DSGVO
(02.01.2024, 09:42 Uhr)
EuGH: Keine Spürbarkeitsschwelle für immateriellen Schadensersatz nach DSGVO
Hamburger Datenschutzbeauftragter: Gemeinsame Verantwortlichkeit nach DSGVO bei geteilter Kundendatenbank im Unternehmensverbund
(04.12.2023, 08:13 Uhr)
Hamburger Datenschutzbeauftragter: Gemeinsame Verantwortlichkeit nach DSGVO bei geteilter Kundendatenbank im Unternehmensverbund
Die Übertragung von Kundendaten bei Shop-Veräußerung: Datenschutzrechtliche Pflichten + Muster
(14.11.2023, 14:19 Uhr)
Die Übertragung von Kundendaten bei Shop-Veräußerung: Datenschutzrechtliche Pflichten + Muster
VG Berlin: Mitwirkungsobliegenheit des Betroffenen bei Auskunft nach DSGVO
(26.10.2023, 17:52 Uhr)
VG Berlin: Mitwirkungsobliegenheit des Betroffenen bei Auskunft nach DSGVO
Kommentar
verfassen
Ihre Meinung zu unserem Beitrag.
* mit Sternchen gekennzeichnete Felder sind Pflichtfelder
speichern

Vielen Dank für Ihren Kommentar

Wir werden diesen nach einer kurzen Prüfung
so schnell wie möglich freigeben.
Ihre IT-Recht Kanzlei
Vielen Dank!

Ihr Kommentar konnte nicht gespeichert werden!

Bitte versuchen Sie es zu einem späteren Zeitpunkt noch einmal.
Ihre IT-Recht Kanzlei
Vielen Dank!
© 2004-2024 · IT-Recht Kanzlei